[发明专利]一种关联告警的分析方法、装置、电子设备及存储介质

说明书

本申请涉及信息安全领域，尤其涉及一种关联告警的分析方法、装置、电子设备及存储介质，解决实现关联告警分析的方式复杂，无法实现有效防护的问题，方法为：确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列，然后，确定所述最长公共子序列不满足预设判定条件时，确定所述待分析告警序列中的末端待分析告警事件，并获取预先确定的各个告警事件与各个其他告警事件间的告警关联度；再针对确定的末端待分析事件，分析确定对应的关联告警事件，这样，能够对可能发生的关联告警事件进行分析，挖掘出告警事件对应的潜在攻击模式，进而能够预见可能发生的安全威胁，实现对于网络安全的有效防护。

技术领域

本公开涉及信息安全领域，尤其涉及一种关联告警的分析方法、装置、电子设备及存储介质。

背景技术

随着网络技术的发展以及大数据技术的日趋成熟，为网络安全事件的关联分析带来了可能，挖掘出网络安全事件之间的关联关系。

目前，进行安全事件的关联告警分析通常借助于预先配置的关联告警规则，实现关联告警分析，使得在执行防护时通过加载关联告警规则实现防护，能够快速识别出与所述关联告警规则匹配的，危害程度较高的告警事件，并进行针对性防护。

然而，相关技术下配置的关联告警规则存在以下问题，一方面关联告警规则依赖于相关领域的技术人员的人工编写，关联告警规则的存在形式复杂，且维护难度很大，稍有改动就需要大范围的重新调整和更新，另一方面配置的关联告警规则主要针对已知安全事件的分析，因此，仅能够防护危害程度较高的告警事件，而且仅能够覆盖小范围的防护场景，无法实现全面的安全防护。

有鉴于此，需要一种新的关联告警的分析方法，以解决上述问题。

发明内容

本发明实施例提供一种关联告警的分析方法、装置、电子设备及存储介质，用以解决现有技术中存在的实现关联告警分析的方式复杂，难以维护，覆盖度较低，无法实现有效防护和运营效率低的问题。

本发明实施例提供的具体技术方案如下：

第一方面，提出一种关联告警的分析方法，包括：

根据目标对象关联的各个待分析告警事件的接收时序，建立对应的待分析告警序列，并确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列，危机告警序列中包括顺序发生且被判定为高置信度的各个危机告警事件；

确定所述最长公共子序列不满足预设判定条件时，确定所述待分析告警序列中的末端待分析告警事件，并获取预先基于历史告警集合中各个历史告警事件的发生时序，分别确定的各个告警事件与各个其他告警事件间的告警关联度；

针对确定的末端待分析事件，重复执行以下操作，直至满足第一预设条件，获得对应的关联告警分析结果：获得与末端待分析告警事件之间的告警关联度满足第二设定条件的关联告警事件，并将所述关联告警事件写入所述待分析告警序列的末端，作为新的末端待分析告警事件。

可选的，所述根据目标对象关联的，各个告警事件的接收时序，建立对应的待分析告警序列之前，还包括：

分别获取各个溯源分析报告中的危机告警事件，并根据各个危机告警事件建立事理图谱；

遍历所述事理图谱中的各个危机告警节点，生成各个危机告警序列，其中，所述事理图谱中包括各个危机告警事件对应的各个节点，以及表征危机告警事件发生的先后关系的有向边。

可选的，所述遍历所述事理图谱中的各个危机告警节点，生成各个危机告警序列之后，所述确定所述待分析告警序列与各个危机告警序列之间的最长公共子序列之前，还包括：

针对所述各个危机告警序列，分别执行以下操作：

确定一个危机告警序列中包括的危机告警事件总量，并根据所述危机告警事件总量，生成滑动窗口内至少包括两个危机告警事件的各个滑动窗口；